网络安全公司 Palo Alto Networks 报告称,有权访问 Kubernetes 集群的黑客可以串联 Google Kubernetes Engine (GKE) 中的两个漏洞来提升权限并接管集群。
这些问题本身可能不会构成重大风险,但已在 FluentBit(GKE 中的默认日志记录代理)和 Anthos Service Mesh (ASM)(用于控制服务间通信的可选插件)环境中发现。
FluentBit 是一种轻量级日志处理器和转发器,自 2023 年 3 月以来一直是 GKE 中的默认日志记录代理,从一开始就被部署为 DaemonSet(控制器)。ASM是Google对Istio Service Mesh开源项目的实现,用于服务的管理和可视化。
Palo Alto Networks 表示,最近在 FluentBit 和 ASM 中发现的漏洞可以作为第二阶段攻击的一部分被利用,前提是黑客已经在 FluentBit 容器中实现了远程代码执行,或者他们可以突破另一个容器。
“如果黑客有能力在 FluentBit 容器中执行并且集群安装了 ASM,他们就可以创建一个强大的链来完全控制 Kubernetes 集群。黑客可以利用此访问权限进行数据盗窃、部署恶意 Pod 并破坏集群的运行。” Palo Alto Networks 解释道。
FluentBit 中的错误配置可能允许黑客使用节点中任何 pod 的令牌来冒充该 pod,获得对集群的未经授权的访问,并列出所有正在运行的 pod。
“除了获得对集群的未经授权的访问之外,黑客还可以升级他们的权限或执行有害的操作。事实上,这为黑客提供了巨大的攻击面,具体取决于节点中相邻 Pod 的权限。”Palo Alto Networks 表示。
此外,网络安全公司发现,安装后,ASM 的容器网络接口 (CNI) DaemonSet 保留过多的权限,允许黑客使用这些权限创建新的 pod,并获得对集群的特权访问。
通过利用FluentBit问题,黑客可以映射集群以找到Istio容器,并滥用ASM CNI DaemonSet的过多权限来创建“强大”的pod,瞄准具有高权限的服务帐户,并获得充当集群管理员的权限。
12 月 14 日,谷歌宣布针对这两个问题发布补丁,敦促用户手动更新集群和节点池。GKE 版本 1.25.16-gke.1020000、1.26.10-gke.1235000、1.27.7-gke.1293000 和 1.28.4-gke.1083000,以及 ASM 版本 1.17.8-asm.8、1.18.6- asm.2 和 1.19.5-asm.4 解决了这些错误。
“这些漏洞在 GKE 中无法单独利用,需要进行初步妥协。我们不知道有任何利用这些漏洞的实例,”谷歌在其公告中指出。
转自安全客,原文链接:https://www.anquanke.com/post/id/292303
暂无评论内容